CTF php RCE (一)

0x01 引言

首先进入题目 应该是大部分都是一段白盒PHP审计，然后我们为了命令执行，绕过或者是钻空子等等操作，来拿到flag

0x02 基础

0x01 传参方式

这里有两个工具，hackbar和burpsuite

,这两个工具非常实用

大家可以自己Google或者百度搜索安装，安装包

的话，私信我可以给你哦

常见的就是GET和POST传参

通俗点讲的话GET 传参就是在url(链接后面拼接键值对)

键值对我也讲不明白

就是c=1 这里的 c 是键，1 是值

例子

url/?c=echo `ls /`; 1

POST 的话我们就要打开post传参方式

在BP中我们右键，然后选择change request method即可进行切换

这里的特点是hackbar的POST不能直接传值，只能传键值对，bp可以直接传值

而且有时候如果你使用hackbar进行传参的话没有反应（就是没有传上去的感觉payload没有改变），那么我建议你进行url编码，如果还没有反应那么再编

0x02 常用函数和命令

弹

首先最常用的应该是弹了吧，好吧也不是那么的常用，但是在比较方便的场面我觉得还是相当好用的，可以看我写的那篇弹shellblog，看看基础命令

函数

其实我在很多博客中看到说不算function，但是我觉得吧，还行，反正就是命令执行的简介吧，你一看到eval你就知道这题是RCE，主要就是写🐎常用

assert() 有些版本比如7.0， 直接写<?php ?>并不好使，或者说被禁用了php那么可以这么写🐎 我们需要调用eval拼接为assert(eval($_POST[a])) 1234 system passthru 这两个函数相当常用 system(ls /); system("ls /"); 这二者有时候可能结果一样，但是其内涵不同，而且有时候单引号能触发，但是双引号不一定能触发，所以多多尝试 123456 php -r echo `ls`; 开启php引擎，进行命令执行 12

这几种都会使用到分号 ，

所以也出现了include包含来面对这种东西 include$_GET["cmd"]?> include$_POST["cmd"]?> 然后cmd传日志文件传马或者是php伪协议外带文件内容 123 ?><?=`ls` 等同于system 1

0x03 空格绕过

%09(tab) ${IFS} $IFS$1 ${IFS}$1 //这后面的数字随便0-9都可以只是 %09 (空格) %0a (回车) \x20 (空格) <> < 123456789